In manchen Unternehmen schon gelebter Standard, in anderen steckt er noch in den Kinderschuhen: Der Software-Freigabeprozess. Nicht der für hausintern entwickelte Lösungen, sondern die Prüfung, Bewertung und Freigabe von Software, die von Dritten gekauft, gemietet und lizenziert werden muss. Ein Thema, bei dem sich viele Firmen schwertun. Im Idealfall nämlich greifen hier einige Abteilungen ineinander, Schnittstellen müssen definiert und Absprachen getätigt werden. Das erfordert vor allem eins: Zeit. Und Ressourcen. Ressourcen, die in Zeiten von Personalmangel und wirtschaftlichen Herausforderungen keiner hat, um aufwändige Prüfungen durchzuführen und Personal zu binden mit Aufgaben, die weit über die Stellenbeschreibung hinausgehen.

Warum braucht es eine Software-Freigabe?

Ziel des Ganzen ist es, die im Unternehmen verbreiteten Anwendungen zu kontrollieren, eine lizenzkonforme Nutzung sicherzustellen, Sicherheitslücken zu vermeiden – insgesamt also Risiken zu minimieren. Denn diese sind vielfältig: eine klassische Nutzungsfreigabe beleuchtet unter anderem Aspekte wie Nutzungsbedingungen, IT Security, Datenschutz, Barrierefreiheit und Verträglichkeit mit anderen Anwendungen. Die Kunst ist es, diesen Prozess so schlank wie möglich, aber so genau wie nötig zu gestalten, ohne dabei die Anforderer vor zu große Hürden zu stellen und dadurch Schatten-IT zu fördern.

Wie sollte man vorgehen? – Ersteinführung des Softwarefreigabe-Prozesses

Der Freigabeprozess ist aufwändig, benötigt Ressourcen und verzögert im Zweifel die Erstbeschaffung einer Software, die bislang noch nicht freigegeben wurde. Damit die Akzeptanz hoch und die Widerstände gegen den Prozess und seine Aufgaben gering sind, muss der Nutzen klar erkennbar sein und das Management einbezogen werden. Unterstützen kann  das Ergebnis eines Assessments, das durch einen externen Gutachter erstellt wurde, in dem es bestehende Risiken aufdeckt und Argumente für die Risikominderung durch einen Freigabeprozess liefert.
Um ressourcenschonend vorzugehen ist es sinnvoll, den Freigabeprozess stufenweise einzuführen: vom Anwendungsfall über ein Pilot Projekt bis hin zur Unternehmensfreigabe. In jeder Phase ist aber vor allem eines wichtig: klar definierte  Verantwortlichkeiten für klar definierte Prüfkriterien. . Da es meist mehrere Verantwortliche gibt, empfiehlt sich Teamarbeit, damit ein sukzessives Vorgehen den Prozess mit vielen Beteiligten nicht unnötig verlangsamt. Paralleles Arbeiten des Prüfungsgremiums anstelle von aufeinander folgenden Arbeitsschritten beschleunigt den Prozess.

Teil 2: Lebenszyklusbetrachtung – Wie kriegt man Änderungen unter Kontrolle?

Compliance im Software Lifecycle

In Zeiten von klassischen Kauflizenzen war es einfacher, mit der Weiterentwicklung von Software und deren Nutzungsbedingungen Schritt zu halten. Die Lizenzbedingungen wurden beim Kauf geprüft, Updates nur in größeren Abständen und unternehmensseitig durchgeführt. Doch die Zeiten haben sich geändert: Der Lebenszyklus von Software-Anwendungen ist nicht mehr durch die Nutzer, sondern vielmehr durch Abonnements und herstellerseitige Update-Releases bestimmt. Der Freigabeprozess wird dadurch häufiger fällig als es den meisten Unternehmen lieb ist. Eine regelmäßige Überprüfung der sich immer wieder ändernden Lizenzbedingungen sowie die kontinuierliche Bewertung der Sicherheitsaspekte von bereits freigegebener Software ist unumgänglich. 

Alarmzeichen erkennen und ernst nehmen

Das Software Lifecycle Management erfordert klare Prozessdefinitionen und das Erkennen von Alarmzeichen, die eine wiederholte Prüfung auch nach der Erstfreigabe notwendig machen. Freigaben sollten vor allem dann hinterfragt werden, wenn der Hersteller einer Software von einem Mitbewerber aufgekauft wird oder neue Versionen veröffentlicht werden. Klassischerweise ändern sich in diesen Fällen nämlich auch die Lizenzbedingungen, Folgeverträge gelten meist ab dem nächsten Release. Auch Veränderungen im Nutzungsverhalten sollten beobachtet werden, um gegebenenfalls nachzusteuern. Verbreiten sich Anwendungen unkontrolliert im Unternehmen, hilft sauberes Software-Metering, um lizenzrechtlich auf der sicheren Seite zu bleiben und im Falle von Audits oder Sicherheitswarnungen schnell reagieren zu können. 

Awareness bei den Nutzern steigern

Auch das Nutzerverhalten hat direkte Auswirkungen auf die Lizenzsituation im Unternehmen: Durch die Möglichkeit der „Selbstbedienung“ in Portalen stellen die User selbst ein Risiko dar. Eine Sensibilisierung der Nutzer auf das Thema Lizenz- und Nutzungsrechte ist daher unerlässlich. Leichter gesagt als getan bei inflationär steigender Anzahl an Anwendungen. Nichtsdestotrotz gilt es, Bewusstsein für die so genannte „EULA“  (End User License Agreement) und deren Inhalte zu schaffen. Um dem Informationsgefälle von Fachbereichen zu Anwendern entgegenzuwirken, hilft es, schon bei der Erstfreigabe die wichtigsten Informationen zu den Nutzungsrechten herauszufiltern, für den Anwender zu „übersetzen“ und proaktiv in die Anwenderschar zu streuen. Auch im weiteren Verlauf des Software Lifecycles ist ein beständiger Dialog von Fachabteilung und Anwendern notwendig, damit aktuelle Regeln verstanden und eingehalten werden können. Schulungen und Trainings für Standard-Anwendungen im Unternehmen können zusätzlich das Risiko von Falschnutzung senken.

Regelmäßige Folgeprüfungen durchführen

Damit Prozesse und Lizenzregeln während des kompletten Software-Lebenszyklus eingehalten werden können, bedarf es klarer Prozessstrukturen – sowohl für die Erstfreigabe von Software als auch für die Folgeprüfung und die Kriterien, die eine solche erforderlich machen. Praxistaugliche Prozesse erfordern eine exakte Rollenbeschreibungen und die Zuweisung der erforderlichen Befugnisse, damit Mitarbeiter in ihrer Funktion handlungsfähig sind. Entscheidend dafür ist die eindeutige Verteilung von Verantwortlichkeiten.

Ist eine Software nach der Erstfreigabe schon fester Bestandteil der IT-Landschaft, sollten interne Prozesse eine regelmäßige Folgeprüfung nach einer fest definierten Zeit erforderlich machen. Klare Prüfkriterien rechtfertigen dann den fortlaufenden Einsatz der Software im Unternehmen. Darüber hinaus sollten Alarmzeichen festgelegt werden, die eine Folgeprüfung außerhalb des festgelegten Nachprüfzeitraums notwendig machen. 

Die Mischung macht’s

Der Softwarefreigabeprozess und notwendige Folgeprüfungen sind aufwändig – doch der Aufwand lohnt sich, um ernst zu nehmende Risiken von Schatten-IT zu vermeiden. Je einfacher und praxistauglicher die Prozesse gestrickt sind, desto eher werden sie eingehalten. Im Endeffekt ist es die Kombination aus Sensibilisierung, Prozessoptimierung und technischer Kontrolle, die Risiken minimiert und Sicherheit und Effizienz im Unternehmen gewährleistet.

CCP unterstützt bei der Einführung und Durchführung

Ihnen fehlen die Ressourcen für einen aufwändigen und wiederholten Freigabeprozess von Softwareanwendungen? Sie haben zwar Personal, aber es mangelt an klar definierten Prozessen, die auch praxistauglich sind? Sie tun sich schwer mit Rollendefinitionen und der Erstellung von Checklisten und Richtlinien? Unsere Consultants schaffen Abhilfe: Von der Beratung über die Umsetzung und Einführung bis hin zum Outsourcing des kompletten oder teilweisen Softwarefreigabeprozesses unterstützen unsere Experten Sie auf dem Weg zu einer nachhaltigen Lösung, die für alle Seiten praktikabel ist. Denn nur dann werden Prozesse eingehalten und in der Praxis gelebt.

Interessiert? Melden Sie sich gern bei uns: consulting@ccpsoft.de

Zusätzliche Informationen und wertvolle Tipps aus der Praxis gibt es in unserer Podcast Folge 51 der „Lizenzlage“ mit Dietmar Thullner vom SWR zum Thema „Software-Freigabeprozess – Aufwand, der sich lohnt“.

Frank Heberling informiert zum Thema Software-Freigabeprozess

Jetzt kostenloses Gespräch buchen

Wer ist beteiligt?

Angefangen bei den Anforderern bestimmter Software-Produkte selbst gehören bei einer Softwarefreigabe viele Personen an einen Tisch: Fachabteilung, Datenschützer, Sicherheitsbeauftragte und Lizenzmanagement sind die entscheidenden Instanzen auf dem Weg zum White- und Blacklisting von Anwendungen, die im Unternehmen problemlos, gar nicht oder nur unter bestimmten Voraussetzungen oder in bestimmtem Umfang zur Verfügung gestellt werden können. Die Rollenverteilung kann sehr individuell geregelt sein – je nach Unternehmen und auch je nach Use Case. Eine Prozessdefinition mit klarer Rollenverteilung ist in jedem Fall empfehlenswert.

Schlanke Prozesse definieren und leben

Es hat sich bewährt, klare Verantwortlichkeiten für einzelne Use Cases zu definieren, die aus allen beteiligten Abteilungen stammen können und die Prozessverantwortlichkeit haben. Sie fungieren als Schnittstelle zwischen den am Prozess beteiligten Akteuren.
Denn: Wichtig ist vor allem der Dialog mit denjenigen, die eine Software angefordert haben. Nur so kann geklärt werden, welche Funktionalität genau gebraucht wird. Unter Umständen sind schon Anwendungen mit ähnlicher Funktionalität im Unternehmen vorhanden – so kann eine weitere aufwändige Erstfreigabe vermieden und die Vielfalt an eingesetzter Software kontrolliert werden. Der so genannte Use Case muss individuell betrachtet werden, um Stolpersteine zu umgehen und Spannungen und Frust zu vermeiden.
Die Prüfung selbst sollte anhand vorab klar definierter Prüfungspunkte erfolgen, die auf die Unternehmenspolitik und interne Vorgaben abgestimmt sind.
Darüber hinaus empfiehlt sich die Unterscheidung von Erstfreigabe und Folgeprüfung. Während es bei der ersten Nutzungsfreigabe darum geht, Anwendungen auf Herz und Nieren zu prüfen, ist der Rechercheaufwand bei einer Folgeprüfung wesentlich geringer. Hier geht es vorrangig darum, Änderungen im Lizenz- und Nutzungsrecht festzustellen und dieses erneut auf den Prüfstand zu stellen. Wer eine gründliche und aufwändige Erstfreigabe durchführt, hat bei der Folgeprüfung weniger Arbeit. Checklisten mit den Punkten, die bei jeder Erst- und Folgeprüfung zwingend geklärt werden müssen, sorgen dafür, dass alle relevanten Fallstricke geprüft und so die Risiken fürs Unternehmen minimiert werden.

Was, wenn die Prüfung negativ ausfällt?

Fällt eine angeforderte Anwendung durchs Raster, ist vor allem eines ratsam: Austausch unter den Beteiligten. Denn nein ist nicht gleich nein. Es geht nun darum, Risiken zu bewerten, Alternativen zu finden oder die Software in abgespecktem Umfang zum Einsatz zu bringen. Weg vom Schwarz-weiß-Denken, hin zur individuellen Betrachtung des Use Cases – nur so kann eine zufriedenstellende Lösung für alle Seiten erwirkt werden.

Rechercheaufwand reduzieren mit der License Library

Vor allem bei der initialen Freigabe einer Software ist der Rechercheaufwand für Lizenzbedingungen hoch. Mit der License Library reduzieren Sie diese Aufwände und die damit verbundenen Prozesskosten auf ein Minimum. Die License Library hilft Ihnen, Software schnell zu identifizieren und benötigte Nutzungsrechte mit nur wenigen Klicks abzurufen. Das aufwändige Suchen und Recherchieren nach den richtigen Quellen und Dokumenten gehört damit der Vergangenheit an. Neben umfassenden Lizenz-Prüfungen bietet Ihnen die License Library Zugang zu einer normalisierten SKU Datenbank, spezifischen Wissensbereichen (Open Source, Schriftarten, uvm.) und integrierten Dienstleistungen.

Sie benötigen weitere Informationen zur License Library? Terminbuchung

Sie möchten die License Library testen?  License Library testen